安全关注!Palo Alto Networks 近日发布紧急安全警告,其 PAN-OS 软件的 DNS Security 功能存在严重拒绝服务 (DoS) 漏洞 (CVE-2024-3393),黑客正利用该漏洞发动攻击,迫使防火墙重启,甚至进入维护模式!
漏洞详情:CVE-2024-3393 影响广泛
Palo Alto Networks 在安全公告中指出,CVE-2024-3393 漏洞允许 未经身份验证的攻击者 通过防火墙的数据平面发送特制的恶意数据包,导致设备重启。
更糟糕的是,如果攻击者 反复利用该漏洞,防火墙将进入 维护模式,需要 人工干预 才能恢复正常运行,这将严重影响业务的连续性!
漏洞已被利用,影响面巨大!
Palo Alto Networks 确认,该漏洞已被黑客积极利用! 已经有客户报告称,他们的防火墙在阻止恶意 DNS 数据包时,遭遇了服务中断。
受影响的版本包括:
-
PAN-OS 10.1.x -
PAN-OS 10.2.x -
PAN-OS 11.0.x (已 EOL,不提供补丁) -
PAN-OS 11.1.x -
PAN-OS 11.2.x
注意:PAN-OS 11.0 已于 2023 年 11 月 17 日达到 EOL(生命周期结束),将不会收到针对此漏洞的补丁! 使用该版本的用户需尽快升级到受支持的版本!
官方修复方案及缓解措施
Palo Alto Networks 已在以下版本中修复了该漏洞:
- PAN-OS 10.1.14-h8
- PAN-OS 10.2.10-h12
- PAN-OS 11.1.5
- PAN-OS 11.2.3
-
以及后续版本
强烈建议受影响的用户尽快升级到最新版本!
对于无法立即升级的用户,Palo Alto Networks 提供了以下 临时缓解措施:
针对未托管的 NGFW、由 Panorama 管理的 NGFW 或由 Panorama 管理的 Prisma Access:
-
导航至: Objects
→Security Profiles
→Anti-spyware
→DNS Policies
→DNS Security
,针对每个 Anti-spyware 配置文件。 -
将所有已配置的 DNS Security 类别的 Log Severity
更改为none
。 -
提交更改,并在应用修复后恢复 Log Severity
设置。
针对由 Strata Cloud Manager (SCM) 管理的 NGFW:
- 选项 1:
使用上述步骤直接在每个 NGFW 上禁用 DNS Security 日志记录。 - 选项 2:
开立支持工单,禁用租户中所有 NGFW 的 DNS Security 日志记录。
针对由 Strata Cloud Manager (SCM) 管理的 Prisma Access:
-
开立支持工单,禁用租户中所有 NGFW 的 DNS Security 日志记录。 -
如有必要,可在支持工单中请求加快 Prisma Access 租户升级。
安全建议:刻不容缓!
此次漏洞影响严重,且已被黑客利用,请所有使用 Palo Alto Networks 防火墙的用户:
- 立即检查
您的 PAN-OS 版本是否受影响。 - 尽快升级
到最新版本或应用官方提供的缓解措施。 - 持续关注
Palo Alto Networks 的安全公告,获取最新的安全信息。 - 加强
网络安全监控,及时发现并应对潜在威胁。
网络安全无小事,请务必重视此次漏洞并采取行动!
原文始发于微信公众号(技术修道场):紧急!Palo Alto Networks 防火墙遭 DoS 攻击,黑客利用 CVE-2024-3393 漏洞致其瘫痪!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论